como analisar o audit_cmd em logs auditd

Eu tenho algumas linhas de log de auditoria que contém a chave audit_cmd seguido por uma longa seqüência de hex. Como posso analisá-lo?

Nota: Eu posso não estar sempre na máquina que originalmente gerou os logs (em alguns casos eu vejo os logs já encaminhados para um servidor de pesquisa elástico)